Kaspersky’nin yeni bir raporuna göre, tehdit aktörleri kurumsal altyapıya erişmeye çalıştıkça, giriş noktası olarak giderek daha fazla Microsoft SQL Server’a yöneliyorlar.
Araştırma, Microsoft SQL Server kullanan saldırıların Eylül 2022’de geçen yılın aynı dönemine kıyasla yarıdan fazla (%56) arttığını iddia ediyor, çünkü yalnızca o ay boyunca güvenliği ihlal edilmiş sunucuların sayısı 3.000’den fazla uç noktaya ulaştı.
Kaspersky, Temmuz ve Ağustos istisna olmak üzere, bu tür saldırıların sayısının geçtiğimiz yıl içinde kademeli olarak arttığını ve Nisan 2022’den bu yana 3.000’in üzerinde tutulduğunu da sözlerine ekledi.
özensiz savunma
“Microsoft SQL Server’ın popülaritesine rağmen, şirketler yazılımla ilişkili tehditlere karşı koruma sağlamak için yeterli önceliği vermiyor olabilir. Kaspersky Güvenlik Operasyonları Merkezi Başkanı Sergey Soldatov, kötü niyetli SQL Server işlerini kullanan saldırılar uzun süredir biliniyor, ancak failler tarafından hala bir şirketin altyapısına erişim sağlamak için kullanılıyor” dedi.
Microsoft SQL Sunucularının tehdit aktörleri tarafından kötüye kullanıldığı, en sonuncusu bir aydan biraz uzun bir süre önce olmak üzere, yakın zamanda çok sayıda olay yaşandı. Eylül 2022’nin sonlarında, AhnLab Güvenlik Acil Müdahale Merkezi’nden siber güvenlik araştırmacıları, FARGO fidye yazılımını MS-SQL sunucularına dağıtan devam eden bir kampanya olduğunu bildirdi. Bu olayda, saldırganlar korumasız uç noktalara gitti (yeni sekmede açılır)veya zayıf ve kolayca kırılan parolalarla korunanlar.
Nisan ayında ise tehdit aktörlerinin bu tür cihazlara Cobalt Strike beacon’ları yüklediği gözlemlendi. MS-SQL’e yönelik saldırı haberleri de bu yıl Mayıs, Haziran ve Ekim aylarında ortaya çıktı.
Çoğu durumda, tehdit aktörleri, açık bir TCP bağlantı noktası 1433 ile uç noktalar için interneti tarar ve ardından parolayı tahmin edene kadar onlara karşı kaba kuvvet saldırıları gerçekleştirir.